Informations

Les mentions légales et la politique de confidentialité détaillent notre collecte, notre utilisation et notre protection de vos données personnelles qui garantissent votre vie privée.

Politique de confidentialité

La protection des données est joignable à l’adresse suivante : rgpd@serenicity.fr.

Le délégué du traitement des données exerce une mission d’information, de conseil et de contrôle interne. Il est référent et responsable des données à caractère personnel. Il tient et rend accessible un registre. Il assure la sécurité informatique et simplifie les formalités auprès de la CNIL. Il est le garant des obligations légales. Il informe les responsables de traitement et les sous-traitants et a l’appui total de l’entreprise Serenicity pour mener à bien ses missions.

Responsabilités et modalités

Nos sous-traitants sont informés de leurs obligations et de leurs responsabilités. Notre responsable de traitement des données personnelles s’assure de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées. La traçabilité des données personnelles confiées à nos sous-traitants est opérationnelle.

La sécurité de notre système d’information repose sur une politique qui inclut, entre autres, les mesures de sécurité mises en place pour la protection des données à caractère personnel. Elle comporte les mesures suivantes :

  • Authentification de nos utilisateurs avec des mots de passe complexes via un protocole hautement sécurisé bloquant automatiquement les sessions après plusieurs tentatives infructueuses de connexion. Nos utilisateurs ne sont pas administrateurs de leurs sessions.
  • Définition des droits d’accès pour l’accès aux données et aux applications par appartenance des utilisateurs à des groupes de sécurité.
  • Antivirus, pare-feu et bouclier intelligent supervisés.
  • Installation des correctifs de sécurité à jour et automatisation des tâches courantes d’administration.
  • Sauvegarde supervisée complétée par un plan de reprise d’activité.
  • Les unités de disque de nos ordinateurs sont chiffrées par la solution Microsoft Bitlocker.

Vos informations sont conservées pour un délai de 5 ans maximum.

Le traitement des données personnelles se fondent sur une base juridique légitime en totale adéquation avec l’activité de notre entreprise. Nous collectons seulement les données personnelles strictement nécessaires à notre activité. Le consentement est obtenu lors de la signature de nos documents commerciaux.

Par ailleurs, vous gardez un droit de regard sur vos informations : vous pouvez y accéder (à raison de quatre fois par an), les rectifier, demander leur rectification ou suppression et exercer votre droit à la limitation du traitement ainsi qu’à la portabilité de vos données personnelles.

Pour cela, vous pouvez contacter notre responsable de traitement des données :

  • Par mail : rgpd@serenicity.fr
  • Par courrier postal à l’adresse suivante : Serenicity, 1 rue de l'informatique, 42000 Saint-Etienne.

Risques

Nous n’avons pas identifié de traitement de données personnelles susceptibles d’engendrer des risques élevés pour les droits et les libertés des personnes concernées.

Si un nouveau traitement devait être mis en place alors nous avons prévu de mener une analyse d’impact sur la protection des données (PIA).

Ce PIA permet de créer un traitement conforme au RGPD et respectueux de la vie privée. Il sera réalisé avant la mise en œuvre du traitement de données personnelles et se basera sur un processus itératif. Des analyses régulières permettront de corriger le traitement notamment lors de changements majeurs de ses modalités.

Ce PIA respectera les 9 critères suivants :

  • Evaluation ou notation
  • Décision automatisée avec effet juridique ou effet similaire significatif
  • Surveillance systématique
  • Données sensibles ou données à caractère hautement personnel
  • Données personnelles traitées à grande échelle
  • Croisement d’ensembles de données
  • Données concernant des personnes vulnérables
  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles
  • Exclusion du bénéfice d’un droit, d’un service ou de contrat.

Procédures internes

En cas de violation de données personnelles sous notre responsabilité, notre responsable de traitement des données personnelles fera une notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais. Cette notification sera faite à l’aide du « formulaire de notification de violation des données personnelles » disponible sur le site de la CNIL.

Dès la conception d’une application ou d’un traitement, la protection des données personnelles est systématiquement prise en compte dans notre entreprise. Ce processus est géré par notre responsable du traitement des données personnelles. Chaque nouveau traitement est étudié et renseigné dans notre registre. Si un traitement traite des données sensibles, alors un PIA est mis en place. Les données inutiles sont supprimées de nos traitements.

En cas de changement de sous-traitant, notre responsable du traitement des données personnelles s’assure que le nouveau sous-traitant est en conformité avec le RGPD. Il s’assure également que le sous-traitant remplacé détruise la totalité des données personnelles en sa possession.

Une sensibilisation à la protection des données personnelles à destination de l’ensemble des collaborateurs de notre entreprise est faite par notre responsable du traitement des données personnelles une fois par trimestre par voie électronique.

Références

https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
https://www.designations.cnil.fr/designations/designation/designation.new.action
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
https://www.cnil.fr/fr/documenter-la-conformite